תקן ISO/IEC 27001, או בקיצור תקן 27001 ISO הוא תקן לניהול אבטחת מידע בארגונים.
מטרת התקן היא לשמור על התנהלות וניהול תקינים ובטוחים של המידע בארגון, על ידי מערכת מקיפה של ניהול אבטחת מידע.
התקן מפרט דרישות ליישום, הקמה, תחזוקה ושיפור עקבי של מערכת ניהול אבטחת מידע.
ארגונים אשר עומדים בתקן יכולים לעבור ביקורת כדי לקבל הסמכה לתקן על ידי גוף מורשה.
הסיבות ליצירת תקן ISO 27799
ארגונים שונים שומרים מידע רפואי רגיש אודות הלקוחות שלהם.
אלה יכולות להיות קופות חולים ובתי חולים, בתי מרקחת וקליניקות, אך גם חברות לציוד רפואי, חברות ביטוח, עורכי דין, חברות מחשוב שנותנות שירותים לארגונים אלה ועוד.
המידע הזה נחשב רגיש במיוחד ואף מוגן בהגנות חוקיות, אבל המציאות מחייבת לספק גישה למידע הזה על ידי העובדים, על ידי חברות חיצוניות וגם על ידי הלקוחות עצמם, באמצעות אפליקציות שונות ואתרי אינטרנט לדוגמה.
חיבור המידע הזה לאינטרנט לצורך מתן הגישה אליו, מחייב לספק הגנה מיוחדת על המידע הרגיש, אשר תהיה מותאמת לצרכי הגישה של הארגונים השונים ולקוחותיהם למידע – בלי לחשוף אותו לסכנות שונות. הייחודיות של תקן ISO 27799 היא בדגש שהוא שם על סוגי מידע שונים ועל אופן ההגנה המתאים להם.
על איזה סוגים של מידע מגן התקן?
התקן עוסק בשמירה על כל סוג של מידע בריאות אישי המזוהה עם אדם ספציפי.
המידע יכול להיות קשור למצבו הנפשי, הגופני, או לשירותי הבריאות המסופקים לו.
התקן מתייחס לסיווג המידע ולכללים לצורך סיווג המידע, אך גם לעובדה כי סוגים שונים של מידע יכולים להיחשב סודיים למטופל מסויים, אך פחות סודיים לדעתו של מטופל אחר.
משום כך התקן מתייחס לכל נכסי המידע של הארגון, מתקני הארגון ומערכות אשר קשורות באחסון המידע, העברתו והנגשתו.
התקן מחדד כי אבטחת המידע הרפואי היא מכלול של פעולות , התנהגות, אמצעים ויישומים, שתפקידם לשמור על סודיות בדרכים שונות, תוך מתן גישה לבעלי הרשאות.
מהן הדרישות לעמידה בתקן ISO 27799?
דרישות התקן דומות מאוד לדרישות של תקן ISO 27001 אבטחת מידע, אבל כוללות תוספות והחמרות שונות לצורך הגנה על מידע רפואי ואישי:
- קביעת מדיניות אבטחה וניהול המידע הרפואי
- הקניית היבטי אבטחה לעובדים חדשים וקיימים
- הגנה על סביבת המחשוב ועל המתקנים השונים של המערכת
- הקמה וניהול מערכות בקרה
- הגבלת גישה למערכות הכוללות מידע רגיש
- ניהול אירועי אבטחת מידע
- יישום אמצעים להגנה, שמירה, ניהול ושחזור במקרה של קריסה
- הקפדה יתרה על חוקים ותקנות הקשורות למידע רפואי אישי
- ביצוע סקרים ומבדקים פנימיים
לסיכום, ב- Mirage IT תוכלו למצוא מגוון רחב של פתרונות אבטחה מתקדמים לארגונים מכל הסוגים, תוך הקפדה על התאמה אישית של הפתרונות לצרכי הארגון, תמיכה שוטפת בפריסה ארצית מסביב לשעון ושירותים מותאמים נוספים. צרו קשר למידע נוסף!
